shell脚本结合iptables防端口扫描的实现_linuxshell教程-查字典教程网
shell脚本结合iptables防端口扫描的实现
shell脚本结合iptables防端口扫描的实现
发布时间:2016-12-28 来源:查字典编辑
摘要:网上有现在的防端口工具,如psad、portsentry,但觉得配置有点麻烦,且服务器不想再装一个额外的软件。所以自己就写了个shell脚本...

网上有现在的防端口工具,如psad、portsentry,但觉得配置有点麻烦,且服务器不想再装一个额外的软件。所以自己就写了个shell脚本实现这个功能。基本思路是:使用iptables的recent模块记录下在60秒钟内扫描超过10个端口的IP,并结合inotify-tools工具实时监控iptables的日志,一旦iptables日志文件有写入新的ip记录,则使用iptables封锁源ip,起到了防止端口扫描的功能。

1、iptables规则设置

新建脚本iptables.sh,执行此脚本。

复制代码 代码如下:IPT="/sbin/iptables"

$IPT --delete-chain

$IPT --flush

#Default Policy

$IPT -P INPUT DROP

$IPT -P FORWARD DROP 

$IPT -P OUTPUT DROP

#INPUT Chain

$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

$IPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

$IPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

$IPT -A INPUT -i lo -j ACCEPT

$IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

$IPT -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT

$IPT -A INPUT -p tcp --syn -m recent --name portscan --rcheck --seconds 60 --hitcount 10 -j LOG

$IPT -A INPUT -p tcp --syn -m recent --name portscan --set -j DROP

#OUTPUT Chain

$IPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

$IPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

$IPT -A OUTPUT -o lo -j ACCEPT

$IPT -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

$IPT -A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT

#iptables save

service iptables save

service iptables restart

注意:17-18行的两条规则务必在INPUT链的最下面,其它规则自己可以补充。

2、iptables日志位置更改

编辑/etc/syslog.conf,添加:

复制代码 代码如下:kern.warning /var/log/iptables.log

重启syslog

复制代码 代码如下:/etc/init.d/syslog restart

3、防端口扫描shell脚本

首先安装inotify:

复制代码 代码如下:yum install inotify-tools

保存以下代码为ban-portscan.sh

复制代码 代码如下:btime=600 #封ip的时间

while true;do

while inotifywait -q -q -e modify /var/log/iptables.log;do

ip=`tail -1 /var/log/iptables.log | awk -F"[ =]" '{print $13}' | grep '([0-9]{1,3}.){3}[0-9]{1,3}'`

if test -z "`/sbin/iptables -nL | grep $ip`";then

/sbin/iptables -I INPUT -s $ip -j DROP

{

sleep $btime && /sbin/iptables -D INPUT -s $ip -j DROP

} &

fi

done

done

执行命令开始启用端口防扫描

复制代码 代码如下:nohup ./ban-portscan.sh &

相关阅读
推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
  • 大家都在看
  • 小编推荐
  • 猜你喜欢
  • 最新linuxshell学习
    热门linuxshell学习
    脚本专栏子分类